Composants installés avec Réponse aux incidents de sécurité
Plusieurs types de composants sont installés lorsque vous téléchargez et activez l’application, notamment les rôles d’utilisateur, les tables, les propriétés et les Réponse aux incidents de sécurité travaux planifiés.
Remarque :
La table Fichiers d'application répertorie les composants installés avec cette application. Pour savoir comment accéder à cette table, consultez Trouver les composants installés avec une application.
Les données de démonstration sont disponibles pour cette fonctionnalité.
Propriétés installées
Les utilisateurs disposant du rôle d’administrateur système [admin] peuvent afficher les propriétés. Les utilisateurs disposant du rôle d’administrateur de sécurité [sn_si.admin] peuvent les modifier.
| Propriété | Utilisation |
|---|---|
| Les nœuds de catégorie par défaut affichés dans l’onglet Graphe des relations de l’espace de travail. Les valeurs par défaut représentent les noms de tables correspondant aux enregistrements connexes. sn_si_aw.defaultCategories |
|
| L'heure de début par défaut pour tous les agents quand aucune planification n'est définie, au format suivant : 08:00 sn_si.default.start.time |
|
| Heure de fin par défaut pour tous les agents quand aucune planification n'est définie, au format suivant : 17:00 sn_si.default.end.time |
|
| Inclure les observables de type Destination ainsi que d'autres observables de type contexte dans les relations entre l'utilisateur de l'incident de sécurité et le CI sn_si.link_dest_ip |
Détermine si un observable d’incident de sécurité avec un type de contexte Destination est affiché sous les onglets Éléments de configuration ou Utilisateurs affectés . Par défaut, les observables ayant un type de contexte Destination sont exclus. Pour inclure les observables, choisissez Oui. |
| Autoriser la personnalisation lors de la création d’un problème ou d’une demande de changement à partir d’un incident de sécurité sn_si.popup |
Lorsqu’un problème ou un changement est créé, cette propriété ouvre une fenêtre contextuelle pour modifier la demande. Si ces propriétés sont définies sur faux, le problème ou la demande de changement a la même priorité, la même description brève et la même description que l’incident de sécurité, sans possibilité d’ajouter ou de modifier ces champs.
|
| Associez les résultats de la recherche de perception aux CI dans la CMDB. sn_si.associate_ci_with_sighting_search |
Lorsqu’ils sont définis sur vrai, les résultats de la recherche de perceptions incluent les éléments de configuration associés qui se trouvent dans votre CMDB.
|
| Le score de risque dans la plage est en surbrillance verte, au format 0-49 sn_si.risk.score.green |
Dans la liste des incidents de sécurité, les incidents de sécurité dont le score de risque est compris entre 0 et 49 sont marqués d’un point vert. |
| Le score de risque dans la plage est en surbrillance orange, au format 50-79 sn_si.risk.score.orange |
Dans la liste des incidents de sécurité, les incidents de sécurité dont le score de risque est compris entre 50 et 79 sont marqués d’un point orange. |
| Le score de risque dans la plage est en surbrillance rouge, au format 80-100 sn_si.risk.score.red |
Dans la liste des incidents de sécurité, les incidents de sécurité dont le score de risque est compris entre 80 et 100 sont marqués d’un point rouge. |
| Ce paramètre active ou désactive les configurations de recherche de perceptions qui ont implémenté cette fonctionnalité. sn_si.enable_sighting_search |
Lorsque la valeur est définie sur vrai, les recherches de perceptions peuvent être effectuées sur les intégrations activées.
|
| Nombre de lignes de données brutes qui sont enregistrées lorsqu’une recherche d’observation est effectuée. Plage 0-100 sn_si.sighting_search_raw_data_rows |
Cette propriété utilise par défaut 50 lignes de données brutes. La moitié des lignes de résultats sont signalées à partir du début de la période de recherche et l’autre moitié à partir de la fin de la période de recherche. Ainsi, si vous sélectionnez 50 lignes, 25 proviennent du début du délai de recherche et 25 de la fin du délai de recherche. |
| Faire passer automatiquement l'état de l'incident à Maîtriser lorsqu'une tâche de réponse passe à Travail en cours sn_si.rollup_task_state |
Lors de l’utilisation de flux ou de workflows, pensez à définir cette propriété sur faux. Cela vous permet de contrôler l’état de l’incident à partir des flux ou des workflows. Cela permet également d’éviter tout conflit potentiel lors de la transition d’un état d’incident à un autre.
|
| Propriétés d’affectation pour Réponse aux incidents de sécurité | |
| Poids de l'emplacement sn_si.location.weight |
Une évaluation utilisée lors du calcul des critères à utiliser pour l’affectation automatique d’un analyste de sécurité. Si, par exemple, l’emplacement est pris en compte pour une tâche, la valeur Poids de l’emplacement est ajoutée à l’évaluation de l’analyste de sécurité.
|
| Poids des compétences sn_si.skills.weight |
Une évaluation utilisée lors du calcul des critères à utiliser pour l’affectation automatique d’un analyste de sécurité. Si, par exemple, les compétences sont prises en compte pour une tâche, la valeur Poids des compétences est ajoutée à l’évaluation de l’analyste de sécurité.
|
| Définir le nombre maximal d’analystes de sécurité à traiter par affectation automatique à un moment donné sn_si.max.agents.processed |
Le système a une limite absolue de 300 analystes de sécurité. Si vous spécifiez plus de 300, la valeur est définie à ce niveau. Le système ne peut pas répartir automatiquement une tâche pour un groupe de distribution qui contient plus d’analystes de sécurité que la valeur configurée.
|
| Poids du fuseau horaire sn_si.timezone.weight |
Une évaluation utilisée lors du calcul des critères à utiliser pour l’affectation automatique d’un analyste de sécurité. Si, par exemple, le fuseau horaire de l’analyste de sécurité est pris en compte pour une tâche, la valeur de pondération du fuseau horaire est ajoutée à l’évaluation de l’analyste de sécurité.
|
| Durée (en minutes) à ajouter entre la fin d’une tâche et le début du déplacement pour la suivante. sn_si.espacement.travail |
Un exemple d’une valeur de temps valide est 10.
|
Champs de journal spécifiés contenant des balises de code qui restituent le contenu au format HTML.sn_si.journal_field.html_enabled |
|
| Calculez les services impactés en arrière-plan. sn_si.refresh_impacted.event |
La liste connexe des services affectés et des CI impactés est générée par le biais d’événements. Lorsqu’elle est activée, l’actualisation est exécutée en arrière-plan et des balises de sécurité sont ajoutées à l’incident. Définissez la valeur sur vrai pour effectuer l’opération en arrière-plan.
|
| Récupérez le service critique à partir de données précalculées. sn_si.critical_service.calculator.use_cache |
Permet au calculateur de services critiques d’utiliser les données précalculées des éléments de configuration. Définir la valeur sur vrai pour effectuer une recherche à partir de données précalculées
|
Rôles installés
| Titre du rôle [name] | Description | Contient des rôles |
|---|---|---|
| Administrateur des incidents de sécurité [sn_si.admin] |
Contrôle total sur toutes les Réponse aux incidents de sécurité données. Administre également les territoires et les compétences, selon les besoins. Remarque : Dans le système de base, l’administrateur a également accès à sn_si.admin. Réponse aux incidents de sécurité peut être restreint par l’administrateur tant qu’au moins un autre utilisateur est affecté au rôle d’administrateur de sécurité. |
|
| Administrateur de profil [sn_si.ingestion_profile_admin] |
Configurez les modules d’extension, créez, modifiez, supprimez et gérez les profils pour Splunk, Splunk ES et l’application Azure Sentinel Integration pour Security Operations. Remarque : Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut. Le rôle sn_si.ingestion_profile_admin peut être affecté aux utilisateurs par le sn_si.admin. |
N/A |
| Analyste des incidents de sécurité [sn_si.analyste] |
Gérer les incidents de sécurité Rôle sous-jacent de l’accès de sécurité de base. Les utilisateurs disposant de ce rôle peuvent créer et mettre à jour des incidents de sécurité, des demandes et des tâches, ainsi que des problèmes, des changements et des pannes liés à leurs incidents. |
|
| Incident de sécurité de base [sn_si.basic] |
Rôle sous-jacent de l’accès de sécurité de base. Les utilisateurs disposant de ce rôle peuvent créer et mettre à jour des incidents de sécurité, des demandes et des tâches, ainsi que des problèmes, des changements et des pannes liés à leurs incidents. |
|
| Directeur de la sécurité de l'information (CISO) [sn_si.ciso] |
Affichez et manipulez le tableau de bord du CISO. En outre, si le module d’extension est activé, les Réponse aux vulnérabilités utilisateurs disposant de ce rôle peuvent ajouter des arborescences de définition de l’importance de la vulnérabilité au tableau de bord. Vous pouvez également faire de même avec Réponse aux incidents de sécurité le plugin. |
|
| Incident de sécurité externe [sn_si.externe] |
Afficher tous les incidents de sécurité qui appartiennent à son groupe particulier. Remarque : Les deux règles suivantes s’appliquent partout ServiceNow , indépendamment de l’administrateur ou de l’application du champ d’application.
|
service_fulfiller |
| Utilisateur d’intégration des incidents de sécurité [sn_si.integration_user] |
Les outils externes peuvent fournir de nouveaux enregistrements d’incidents de sécurité et mettre à jour les enregistrements d’incidents de sécurité. | import_transformer |
| Administrateur des connaissances sur les incidents de sécurité [sn_si.knowledge_admin] |
Gérez, mettez à jour et supprimez les informations contenues dans la base de connaissances des incidents de sécurité. |
|
| Gestion des incidents de sécurité [sn_si.responsable] |
Même accès que les analystes de sécurité. |
|
| Lecture de l’incident de sécurité [sn_si.lire] |
Lire les incidents de sécurité. |
|
| Gestionnaire d’accès aux restrictions de sécurité [sn_si.restriction_access_manager] | Permet aux utilisateurs ou aux groupes d’appliquer des restrictions sur les incidents de sécurité. Cela ne s’applique qu’au changement de champ. | N/A |
| Accès spécial aux incidents de sécurité sn_si.accès_spécial_ |
Fournit l’accès à des incidents de sécurité spécifiques à des utilisateurs extérieurs à l’organisation Security Operations. | N/A |
| Activateur d’accès spécial de sécurité [sn_si.special_access_enabler] | Fournit un rôle d’accès spécial à un utilisateur extérieur à l’organisation Security Operations pour des incidents de sécurité spécifiques. | N/A |
| Gestionnaire de lecture d’accès spécial aux incidents de sécurité [sn_si.special_access_read_manager] | Gérez le rôle Accès spécial aux incidents de sécurité [sn_si.special_access]. Utilisez ce rôle pour modifier le champ Accès en lecture du formulaire d’incident de sécurité. Ce rôle peut être affecté par sn_si.admin. | sn_si.special_access_enabler |
| Gestionnaire de rédacteur d’accès spécial aux incidents de sécurité [sn_si.special_access_write_manager] | Gérez le rôle Accès spécial aux incidents de sécurité [sn_si.special_access]. Utilisez ce rôle pour modifier le champ Accès privilégié dans le formulaire d’incident de sécurité. Ce rôle peut être affecté par sn_si.admin. | sn_si.special_access_enabler |
Travaux planifiés installés
| Tâche planifiée | Description |
|---|---|
| Rechercher les observables d’incident de sécurité | Effectue une recherche d’observables selon un calendrier défini par l’utilisateur. |
Tables installées
| Table | Description |
|---|---|
| Configuration du flux d'actualités [sn_si_feed_configuration] |
Enregistrements de configuration utilisés pour définir le contenu affiché dans le flux d’actualités des incidents de sécurité. |
| Règle d'affectation de revue post-incident [sn_si_pir_condition] |
Automatise la sélection des participants à une enquête d’examen post-incident lorsqu’un incident de sécurité est fermé. |
| Incident de sécurité [sn_si_incident] |
Stocke un incident de sécurité, les réponses à l’incident, toutes les tâches connexes, les changements, les problèmes et les incidents liés à cet incident de sécurité. |
| Vecteurs d'attaque des incidents de sécurité [sn_si_attack_vector] |
Options de vecteur d’attaque. |
| Journal d'audit des incidents de sécurité [sn_si_audit_log] |
Stocke les journaux d’audit d’enrichissement des incidents de sécurité. |
| Calculateur d'incidents de sécurité [sn_si_calculator] |
Calculateur permettant de définir certains champs d’incident de sécurité lorsque certaines conditions sont remplies. |
| Groupe de calculateurs d'incidents de sécurité [sn_si_calculator_group] |
Un regroupement de calculateurs d’incidents de sécurité. L’ordre du groupe de calculateurs détermine quel groupe est évalué en premier, et dans chaque groupe, un calculateur au maximum est utilisé. |
| Pare-feu d’enrichissement des incidents de sécurité [sn_si_enrichment_firewall] |
S’étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques à Palo Alto Networks Firewall. |
| Enrichissement des incidents de sécurité Résultats des programmes malveillants [sn_si_enrichment_malware] |
S’étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques aux programmes malveillants. |
| Enrichissement des incidents de sécurité Statistiques réseau [sn_si_enrichment_network_statistics] |
S’étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques aux statistiques de réseau. |
| Enrichissement des incidents de sécurité Processus en cours [sn_si_enrichment_running _processes] |
S’étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques aux processus en cours d’exécution. |
| Enrichissement des incidents de sécurité Services d’exécution [sn_si_enrichment_running_service] |
S’étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques aux services en cours d’exécution. |
| Recherche d'e-mails d'incidents de sécurité [sn_si_m2m_incident_email_search] |
Mappe les enregistrements de recherche d’e-mails aux incidents de sécurité. |
| Importation des incidents de sécurité [sn_si_incident_import] |
Table à importer pour les incidents de sécurité. Utilisée pour créer des incidents de sécurité à partir de systèmes externes. |
| Définition de processus d'incident de sécurité [sn_si_process_definition] |
Stocke la configuration des flux de processus des incidents de sécurité. |
| Sélecteur de définitions de processus d'incidents de sécurité [sn_si_process_definition_selector] |
Stocke la définition du processus d’incident de sécurité à utiliser pour les incidents de sécurité. |
| Incident de sécurité associé au ticket du service clientèle [sn_si_m2m_incident_customerservice_case] |
Mappe les tickets du service clientèle et les incidents de sécurité |
| Données d'enrichissement associées aux incidents de sécurité [sn_si_m2m_incident_enrichment] |
Mappe les incidents de sécurité et les enregistrements de données d’enrichissement connexes. |
| Tâche Réponse aux incidents de sécurité [sn_si_task] |
Gère les sous-tâches liées à la gestion d’un incident de sécurité. Ces tâches peuvent être affectées au personnel de sécurité ou à des personnes d’autres départements pour gérer la communication interdépartementale et le suivi des tâches. |
| Modèle de tâche Réponse aux incidents de sécurité [sn_si_task_template] |
Utilisé pour créer une Réponse aux incidents de sécurité tâche. Ces modèles sont souvent utilisés dans les entrées de catalogue, afin de créer automatiquement un ensemble de sous-tâches appropriées pour un type particulier d’incident de sécurité. |
| Document Runbook des incidents de sécurité [sn_si_runbook_document] |
Associe les conditions ou les filtres d’incident de sécurité à un article de la base de connaissances. Utilisée pour spécifier les procédures de Runbook pour la correction des incidents de sécurité. |
| Modèle d'incident de sécurité [sn_si_incident_template] |
Utilisée pour créer un incident de sécurité. Ces modèles sont souvent utilisés dans les entrées de catalogue pour créer un incident de sécurité prédéfini. |
| Demande de sécurité [sn_si_request] |
Une demande liée à la sécurité adressée à l’équipe de sécurité. |
| Demande d'analyse de sécurité [sn_si_scan_request] |
Une demande de recherche de menace. |
| Calculateur de gravité sn_si_severity_calculator |
Définit les valeurs de gravité, d’impact, de risque et de criticité d’un incident de sécurité. |
| Tâche Utilisateur concerné [sn_si_m2m_task_affected_user] |
Une table de plusieurs à plusieurs associant les incidents de sécurité aux utilisateurs affectés. |
| Évaluateur de résultats de l'activité du workflow de modèle [sn_si_wf_activity_outcome_evaluator] |
Mappe une option avec un script d’évaluation. Un nouveau flux secondaire peut être ajouté à un workflow de modèle pour définir un résultat de tâche de réponse plutôt que de le laisser un analyste le définir manuellement. |